Hallo liebe Community und frohe Weihnachten (oder Feiertage oder wie auch immer :) ),
in der Urlaubszeit möchte ich auch mal wieder an dem Neuaufbau meines erweiterten Heimnetzes weiter machen und stehe schon wieder an der nächsten Herausforderung, bei der ich auf eure Hilfe hoffe...
Kurz gefasst geht es darum: Wie kann ich bei HAProxy einem Public Service eine IP aus einem virtuellen Subnetz geben?
Die lange Fassung:
Ich habe beruflich einige Jahre mit dem Citrix ADC zu tun gehabt, allerdings eher aus der Applikationssicht. Mit der Netzwerkkonfiguration habe ich recht wenig zu tun gehabt... Allerdings ist daher noch meine Annahme, dass man mehrere Frontend-Dienste (Also Public Services bei HAProxy) mit verschiedenen IPs und Ports betreiben kann.
Das ist auch mein Ziel, da ich einige Webservices in meinem Netz habe, die ich teils intern, teils extern über den HAProxy laufen lassen möchte. Also 2 Public Services mit je einer anderen IP. Mir ist klar, dass ich das auch mit Ports umsetzen könnte, aber da kommt eben meine gewohnte Arbeitsweise in mir durch...
Die beiden IPs würde ich gerne als eigenes Subnetz halten...
Hab mal versucht mein Setup zu visualisieren:
WAN / Internet
:
: DSL
:
.-----+-----.
| Gateway | Fritzbox (192.168.178.1) + Port Forwarding an 10.1.0.10:443
'-----+-----'
| DHCP 192.168.178.0/24
WAN |
|
.-----:-------.
| OPN:sense +-------.
| (Br:dge) | |
'-----:-------' | 10.1.0.10:443
| | Public interface 1
LAN | HAProxy|
| | 10.1.0.20:443
.-----+------. | Public interface 2
| LAN-Switch +-------'
'-----+------' |
| |
...-----+------... VLAN 1 Servernetz (Webserver 10.0.0.150:8080)
VLAN 2 Clients 10.0.100.0/24 (DHCP)
VLAN 3 IoT Netz 10.0.200.0/24 (DHCP)
Meine Ziele sind also:
- Port Forwarding von der FB nach 10.1.0.10:443 (Public Service 1) für den externen Zugriff
- Interne DNS Einträge nach 10.1.0.20:443 (Public Service 2) für den internen Zugriff
- Hinter den beiden Public Services hängen verschiedene Webdienste, die mittels einer Hostname-Regel zugeordnet werden
- Das Netz 10.1.0.0/24 ist keinem interface zugeordnet
Ich hoffe ich habe alles verständlich beschrieben und keine allzu bescheuerte Anfrage gestellt :D
Vielen Dank vorab!
also, ich habe ca. 3 webseiten die über meinen ha-proxy zu erreichen sind.
konfiguriert habe ich es über ein deutsches howto (musst du mal im forum nach suchen)
Sind die denn unter der IP deiner OPNsense erreichbar oder unter einer expliziten?
Die ganzen HowTos sind immer nur mit der 0.0.0.0:8080 oder so konfiguriert, also das das Port Forwarding auf die IP des WAN Interfaces oder so geht
Quote from: tschagga on December 24, 2020, 02:11:13 PM
Sind die denn unter der IP deiner OPNsense erreichbar oder unter einer expliziten?
Die ganzen HowTos sind immer nur mit der 0.0.0.0:8080 oder so konfiguriert, also das das Port Forwarding auf die IP des WAN Interfaces oder so geht
Du gibst bei der HAProxy Konfiguration für den öffentlichen Service einfach die IP:Port an worauf der HA hören soll.
Quote from: lfirewall1243 on December 24, 2020, 03:28:23 PM
Quote from: tschagga on December 24, 2020, 02:11:13 PM
Sind die denn unter der IP deiner OPNsense erreichbar oder unter einer expliziten?
Die ganzen HowTos sind immer nur mit der 0.0.0.0:8080 oder so konfiguriert, also das das Port Forwarding auf die IP des WAN Interfaces oder so geht
Du gibst bei der HAProxy Konfiguration für den öffentlichen Service einfach die IP:Port an worauf der HA hören soll.
Ich hätte meine Frage etwas genauer stellen sollen...Entschuldigt die Verwirrung. Wo ich die IP angebe ist mir natürlich klar.
Also ich habe einen Public Service mit der IP 10.1.0.10:443 angelegt, bekomme aber keine Verbindung dahin.
Zugriff erfolgt aus dem Interface LAN, welches eine * Freigabe überall hin hat.
Da die IP Range des Public Service ja keinem Interface zugeordnet ist, weiß ich nicht, wo ich noch was freischalten kann/muss.
Muss ich noch irgend was bestimmtes freischalten?
Alternativ:
Kann man HAProxy eventuell einem bestimmten Interface zuordnen?
Da meine OPNSense virtuell ist, könnte ich ein eigenes Interface dafür anlegen?
Such doch mal das howto bei mir läuft es.
Gesendet von iPhone mit Tapatalk Pro
Quote from: tschagga on December 24, 2020, 04:30:02 PM
Quote from: lfirewall1243 on December 24, 2020, 03:28:23 PM
Quote from: tschagga on December 24, 2020, 02:11:13 PM
Sind die denn unter der IP deiner OPNsense erreichbar oder unter einer expliziten?
Die ganzen HowTos sind immer nur mit der 0.0.0.0:8080 oder so konfiguriert, also das das Port Forwarding auf die IP des WAN Interfaces oder so geht
Du gibst bei der HAProxy Konfiguration für den öffentlichen Service einfach die IP:Port an worauf der HA hören soll.
Ich hätte meine Frage etwas genauer stellen sollen...Entschuldigt die Verwirrung. Wo ich die IP angebe ist mir natürlich klar.
Also ich habe einen Public Service mit der IP 10.1.0.10:443 angelegt, bekomme aber keine Verbindung dahin.
Zugriff erfolgt aus dem Interface LAN, welches eine * Freigabe überall hin hat.
Da die IP Range des Public Service ja keinem Interface zugeordnet ist, weiß ich nicht, wo ich noch was freischalten kann/muss.
Muss ich noch irgend was bestimmtes freischalten?
Alternativ:
Kann man HAProxy eventuell einem bestimmten Interface zuordnen?
Da meine OPNSense virtuell ist, könnte ich ein eigenes Interface dafür anlegen?
Hast du den Port deiner WebUI geändert ?
Auf 443 läuft ja die OPNsense UI, das geht natürlich nicht beides.
Und keine Interface hat die IP 10.1.0.10? Oder wie soll man das verstehen.
Sonst Mal ein Grafischer Netzwerkplan
Quote from: lfirewall1243 on December 27, 2020, 02:46:50 PM
Hast du den Port deiner WebUI geändert ?
Auf 443 läuft ja die OPNsense UI, das geht natürlich nicht beides.
Und keine Interface hat die IP 10.1.0.10? Oder wie soll man das verstehen.
Sonst Mal ein Grafischer Netzwerkplan
Der Port der WebUI läuft weiter auf 443... Das soll auch so bleiben und ist einer der Gründe, warum ich für HAProxy eine dedizierte IP haben will.
Die Interfaces haben die Netze 192.168.178.0/24, 10.0.0.150/24, 10.0.100.0/24 und 10.0.200.0/24. Also nein, die IP des HAProxy Public Service ist keinem Interface zugeordnet, bzw. Passt zu keinem derer Netze.
Den "grafischen" Netzplan habe ich schon in meinem ersten Post angehängt... bei einem echten grafischen Plan wären auch ich wirklich mehr Informationen dabei...
Quote from: micneu on December 24, 2020, 04:42:51 PM
Such doch mal das howto bei mir läuft es.
Gesendet von iPhone mit Tapatalk Pro
Bringt mir leider wenig, wenn ich nicht mal eine Antwort bekomme, ob es mit der IP der OPNsense so läuft...
Alle HowTos (auch die hier im Forum) sind immer nur mit der IP der OPNsense...das ist aber eben nicht das, was ich brauche. Mit dem Standard im HowTo habe ich es auch schon hinbekommen...
Quote from: tschagga on December 28, 2020, 07:38:01 PM
Quote from: lfirewall1243 on December 27, 2020, 02:46:50 PM
Hast du den Port deiner WebUI geändert ?
Auf 443 läuft ja die OPNsense UI, das geht natürlich nicht beides.
Und keine Interface hat die IP 10.1.0.10? Oder wie soll man das verstehen.
Sonst Mal ein Grafischer Netzwerkplan
Der Port der WebUI läuft weiter auf 443... Das soll auch so bleiben und ist einer der Gründe, warum ich für HAProxy eine dedizierte IP haben will.
Die Interfaces haben die Netze 192.168.178.0/24, 10.0.0.150/24, 10.0.100.0/24 und 10.0.200.0/24. Also nein, die IP des HAProxy Public Service ist keinem Interface zugeordnet, bzw. Passt zu keinem derer Netze.
Den "grafischen" Netzplan habe ich schon in meinem ersten Post angehängt... bei einem echten grafischen Plan wären auch ich wirklich mehr Informationen dabei...
Quote from: micneu on December 24, 2020, 04:42:51 PM
Such doch mal das howto bei mir läuft es.
Gesendet von iPhone mit Tapatalk Pro
Bringt mir leider wenig, wenn ich nicht mal eine Antwort bekomme, ob es mit der IP der OPNsense so läuft...
Alle HowTos (auch die hier im Forum) sind immer nur mit der IP der OPNsense...das ist aber eben nicht das, was ich brauche. Mit dem Standard im HowTo habe ich es auch schon hinbekommen...
Den Plan habe ich übersehen.
Ich glaube nicht daß es so funktioniert. Irgendwo musst du ja auch die IP erreichen - wenn diese keinem Interface zugeordnet ist wird das nicht klappen. Wie auch
Ich wäre jetzt mal davon ausgegangen, dass OPNsense schlau genug ist, wenn in HAProxy eine IP zum "Lauschen" konfiguriert ist, diese auch intern angesprochen werden kann...
So kenne ich das auch vom Citrix ADC... Der kann auf beliebige IPs lauschen, wenn diese nur richtig geroutet sind.
Bei der OPNsense ist der Router ja praktisch im gleichen System, sollte das also ja eigentlich hinbekommen?
Quote from: tschagga on December 28, 2020, 08:28:36 PM
Ich wäre jetzt mal davon ausgegangen, dass OPNsense schlau genug ist, wenn in HAProxy eine IP zum "Lauschen" konfiguriert ist, diese auch intern angesprochen werden kann...
So kenne ich das auch vom Citrix ADC... Der kann auf beliebige IPs lauschen, wenn diese nur richtig geroutet sind.
Bei der OPNsense ist der Router ja praktisch im gleichen System, sollte das also ja eigentlich hinbekommen?
Du müsstest schon einer Schnittstelle diese IP als virtuelle IP geben
Quote from: lfirewall1243 on December 28, 2020, 08:29:36 PM
Quote from: tschagga on December 28, 2020, 08:28:36 PM
Ich wäre jetzt mal davon ausgegangen, dass OPNsense schlau genug ist, wenn in HAProxy eine IP zum "Lauschen" konfiguriert ist, diese auch intern angesprochen werden kann...
So kenne ich das auch vom Citrix ADC... Der kann auf beliebige IPs lauschen, wenn diese nur richtig geroutet sind.
Bei der OPNsense ist der Router ja praktisch im gleichen System, sollte das also ja eigentlich hinbekommen?
Du müsstest schon einer Schnittstelle diese IP als virtuelle IP geben
Daran solls nicht scheitern... Da meine OPNsense virtuell ist konnte ich ein neues Interface zum Testen dran hängen. Leider weiterhin ohne Erfolg.
Das neue Interface hat die IP 10.1.0.100, der Public HAProxy die IP 10.1.0.10:443
Mein LAN Interface aus dem heraus ich einen Zugriff teste hat eine IPv4 * Regel.
Vergesse ich was oder sollte das so funktionieren?
Weder Ping noch Telnet auf 10.1.0.10 gehen durch
Quote from: tschagga on December 28, 2020, 08:54:45 PM
Quote from: lfirewall1243 on December 28, 2020, 08:29:36 PM
Quote from: tschagga on December 28, 2020, 08:28:36 PM
Ich wäre jetzt mal davon ausgegangen, dass OPNsense schlau genug ist, wenn in HAProxy eine IP zum "Lauschen" konfiguriert ist, diese auch intern angesprochen werden kann...
So kenne ich das auch vom Citrix ADC... Der kann auf beliebige IPs lauschen, wenn diese nur richtig geroutet sind.
Bei der OPNsense ist der Router ja praktisch im gleichen System, sollte das also ja eigentlich hinbekommen?
Du müsstest schon einer Schnittstelle diese IP als virtuelle IP geben
Daran solls nicht scheitern... Da meine OPNsense virtuell ist konnte ich ein neues Interface zum Testen dran hängen. Leider weiterhin ohne Erfolg.
Das neue Interface hat die IP 10.1.0.100, der Public HAProxy die IP 10.1.0.10:443
Mein LAN Interface aus dem heraus ich einen Zugriff teste hat eine IPv4 * Regel.
Vergesse ich was oder sollte das so funktionieren?
Weder Ping noch Telnet auf 10.1.0.10 gehen durch
Zeigt dein LiveLog beim Ping etc. was zu der IP an?
Laut dem Log passt alles?
Ohne Filter ist das Log sehr unübersichtlich, da schon andere Dienste über die OPNsense laufen... Das habe ich aber geprüft. Da war kein Block dabei
(http://screenshot%202020-12-28%20210212.png)